Quelles bonnes résolutions les Risk Managers et dirigeants pourraient-ils bien prendre ?
Nous vous proposons ici quelques idées sous la forme – très classique – des dix commandements. Ces dix commandements ne vont pas adresser la technicité du traitement risque – comment les identifier, les qualifier, les quantifier, décider des priorités et mettre en place des plans d’actions – mais adresser une vision encore souvent en recherche dans le management des risques : la gouvernance des risques.
6. Avoir les bons outils en support
Plus de 40 logiciels traitant du management des risques sont disponibles sur le marché. Le Risk Management doit réfléchir à fluidifier les échanges et le partage de l’information, tout en respectant les règles de confidentialité. Un outillage est indispensable. Il doit aussi évaluer la pertinence de l’usage d’outils de type Monte Carlo ou Bayésien. La stochastique est maîtrisée depuis longtemps par les actuaires, mais est quasi inconnue des responsables d’activités et de projets. Or la stochastique apporte une valeur ajoutée certaine dans les évaluations quantitatives des risques. Le Bayésien est d’usage plus spécifique : il adresse la modélisation de systèmes complexes (comme un satellite par exemple, mais aussi des diagnostics médicaux, des décisions de justice, la gestion d’un parc véhicule, …). Le Risk Management doit automatiser les tâches des risk managers, des propriétaires de risques et mettre à disposition des outils d’aide à la décision.
Primavera Risk Analysis
7. Ne pas calculer n’importe quoi !
On voit souvent des recommandations basées sur des calculs stochastiques, avec des formules de moyenne des moyennes, de moyenne des écarts types, … Mais on constate aussi que ces calculs prennent pour hypothèse des répartitions gaussiennes, qu’il y a des milliers d’objets interdépendants, ... ce qui conduit à des résultats stupides ou, pire, induisant de mauvaises décisions. Si la méthode de Monte Carlo est un bon outil de quantification des risques et d’aide à la décision, il faut respecter les conditions d’application de cette méthode. Le Risk Management a alors pour mission de faire un accroissement de culture auprès des concernés, RM, responsables opérationnels, …
8. Organiser le management des risques
Organiser, c’est Qui fait Quoi, Quand et Comment, à quel Coût … avec des processus et procédures. Ce n’est pas suffisant, même s’il est nécessaire de faire et d’appliquer des RASIC. Pour le management des risques, c’est aussi faire prendre conscience et responsabiliser, et surtout motiver. Définir les « Propriétaires » ou « Owners » des risques n’est pas toujours une simple affaire. Il faut leur donner les moyens d’analyser (avec de l’information, du big data, des REX, …) et de traiter les risques (avec les finances, les matériels et les compétences ad hoc). Organiser le management des risques c’est aussi changer la culture du curatif en culture du préventif. C’est aussi vouloir lever des tabous et gérer des luttes de pouvoir. Enfin, organiser le management des risques, c’est aussi consolider en partant du terrain jusqu’au Comex, en traversant toutes les couches organisationnelles et juridiques de l’entreprise.
9. Savoir consolider les risques
Les risques existent par milliers : c’est trop pour l’aide à la décision. Les risques existent au niveau du terrain (un chantier, un projet, …) comme au niveau du Groupe (image, …). Donc il faut consolider les risques. La consolidation est d’autant plus délicate que l’entreprise est grande, diversifiée dans ses métiers et répartie sur la planète. Il faut construire et organiser la pyramide de consolidation des risques dans un groupe, du terrain jusqu’au Comex du Groupe, en passant par les BU, les filiales, … cette organisation fait appel, d’une part, à des règles organisationnelles, et, d’autre part, à des outils calculatoires (Monte Carlo, …). Les consolidations ne sont pas que hiérarchiques ; elles sont aussi transverses sur des thématiques métiers, produits, réglementaires … Une consolidation des risques des projets n’est pas la somme des risques, mais une combinatoire avec des appréciations de probabilités et de dispersion – Monte Carlo devient alors utile. Attention aux risques appartenant à plusieurs catégories : il ne faut pas doublonner les consolidations au risque de présenter une situation globale plus grave qu’elle n’est ! Enfin, le Risk Management doit mettre en place une traçabilité des consolidations – simple règle d’audit trop souvent oubliée.
10. Penser confidentialité
Les projets adressent souvent des ambitions de l’entreprise : ambitions stratégiques, ambitions commerciales, ambitions organisationnelles, et aussi des faiblesses. Mettre accessible des informations sur les risques des ambitions stratégiques présente un … risque majeur pour la pérennité ! Soyons conscients que dans tous les cas, les informations gérées dans des fiches risques sont a minima sensibles. La confidentialité sur les informations « risques » doit être donc être traitée de façon stricte et permanente. La concurrence ne doit pas y avoir accès, que ce soit par une communication trop transparente, par des actes de piratage ou par des corruptions internes. Or la corruption interne est ce qu’il y a de plus difficile à anticiper : avoir ou ne pas avoir confiance ? Des principes de bases telles que la classification de l’information en termes de confidentialité et la mise en place de barrières étanches entre périmètres organisationnelles s’appliqueront donc tout naturellement au management des risques au quotidien, comme pour tout autre activité de l’entreprise. La mise en place d’outils de traçabilité dans les SI sur les informations est un moyen pertinent pour stopper à temps des fuites, et a minima identifier les ‘balances’. Se pose aussi la question de la consanguinité des conseils d’administration de certaines grandes entreprises : informer le CA revient à informer des concurrents …
Associé VALUE 360, © Value 360
Denis Zandvliet
Consultant en Organisation, expert en
Management des Risques et Engagement de résultats. Il possède une solide expérience dans la direction de projets stratégiques et l’accompagnement au changement organisationnel. Il a dirigé de nombreux projets de dimension internationale, a défini des schémas directeurs, et a mené des audits opérationnels, techniques et financiers dans divers secteurs (pharmaceutique, banque-assurance, pétrole, énergie, transports, ministères…).